为了保护我的 Thrift 服务器免受最近发现的 SSLv3 vulnerability ,我明确说明应该为服务器套接字启用哪些协议(protocol):
TServerSocket socket = TSSLTransportFactory.getServerSocket(...);
SSLServerSocket sslServerSocket = (SSLServerSocket) socket.getServerSocket;
sslServerSocket.setEnabledProtocols(new String[] {"TLSv1.1", "TLSv1.2"});
但是,即使使用 TestSSLServer 进行检查仅列出 TLSv1.1 和 TLSv1.2,我仍然能够使用 SSLv3 连接 OpenSSL:
openssl s_client -connect localhost:1111 -ssl3
如何在 Thrift 上完全禁用 SSLv3,使其在 SSL 握手期间失败?
最佳答案
看来我误解了 openssl 客户端输出。即使第一行有 CONNECTED(00000003),错误信息如下:
140535757866656:error:1408F10B:SSL routines:SSL3_GET_RECORD:wrong version number:s3_pkt.c:337:
因此,无法连接到服务器;问题中提供的代码片段工作正常。
关于java - 保护 Thrift 服务器免受 POODLE SSL 漏洞的攻击,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/26387099/